《模糊測試-強制性安全漏洞發掘》--讀書筆記
前言:第一部分:背景==>介紹不同的、具體的模糊測試型別;
第二部分:目標和自動化==>關注模糊測試的各種相關應用目標;
第三部分:高階模糊測試技術==>討論模糊測試領域的各種高階主題;
第四部分:展望==>總結;
模糊測試的基本思想是自動產生和傳送大量隨機的或經過變異的輸入值給軟體,若發生失效或異常,便可挖掘出軟體系統存在的
薄弱環節和安全漏洞。
模糊測試(過程):向產品有意識地輸入無效資料以期望觸發錯誤條件或引起產品的故障。這些錯誤條件可以指導我們找出那些
可挖掘的安全漏洞。模糊測試沒有實際的執行規則,測試結果是這種技術成功性的唯一度量。
有效的模糊測試:關鍵在於明確對什麼樣的產品使用什麼樣的測試資料,以及需要什麼工具來操縱、監控和管理模糊測試過程。
模糊測試的定義:一種通過提供非預期的輸入並監視異常結果來發現軟體故障的方法。
所有的模糊器分為兩大類:
1.基於變異的模糊器(mutation-based fuzzer):對已有資料樣本應用變異技術以建立測試用例;
2.基於生成的模糊器(generation-based fuzzer):對目標協議或檔案格式建模的方法從頭開始產生測試用例;
工具:owasp jbrofuzz
注:模糊測試-強制性安全漏洞發掘(fuzzing-brute force vulnerability discovery)michael sutton adam greene pedram amini著
黃隴 於莉莉 李虎譯 機械工業出版社
DVWA安全測試實踐工具,理解安全漏洞原理
dvwa一共包含十個模組分別是 1.bruce force 暴力破解 2.command injection 命令注入 3.csrf 跨站請求偽造 4.file inclusion 檔案包含 5.file upload 檔案上傳漏洞 6.insecure captcha 不安全的驗證 7.sql i...
WEB安全性測試 檔案上傳漏洞
學習章節 測試入門到精通 軟體測試零基礎入門資料2015 第二階段 web測試模組 5.web安全性測試 第3章 3.web安全性測試 檔案上傳漏洞 學習內容 檔案上傳漏洞是指網路攻擊者上傳了乙個可執行的檔案到伺服器並執行。這裡上傳的檔案可以是木馬,病毒,惡意指令碼或者webshell等。危害 上傳...
聯發科確認 MTK晶元存安全漏洞可致隱私洩露
在本月早些時候,安全研究者justin case發現部分使用mtk晶元的android智慧型手機和平板電腦存在乙個軟體安全漏洞,可致使裝置受到安全攻擊。聯發科隨後回應稱,這個漏洞存在於執行android 4.4 kitkat系統的裝置當中。它原本是乙個為中國電信互操作性測試所開發的除錯功能,但手機廠...